Liam Tung är en australisk affärsteknikjournalist som bor några för många svenska mil norr om Stockholm för hans smak. Han tog en kandidatexamen i ekonomi och konst (kulturstudier) vid Sydneys Macquarie University, men hackade sig (utan norrön eller skadlig kod för den delen) in i en karriär som företagsteknik-, säkerhets- och telekommunikationsjournalist med ZDNet Australia.
Fullständig bio den 23 december 2021 | Ämne: Säkerhet 
Apache Software Foundation har släppt en uppdatering för att åtgärda ett kritiskt fel i sin enormt populära webbserver som gör att fjärrangripare kan ta kontroll över ett sårbart system.
Stiftelsen har släppt version 2.4.52 av Apache HTTP Server (webbserver) som åtgärdar två brister spårade som CVE-2021-44790 och CVE-2021-44224, som har respektive CVSS-svårighetspoäng på 9,8 (kritiskt) och 8,2 (högt) ) av 10 möjliga. En poäng på 9,8 är mycket dålig och har under de senaste veckorna bara toppats av Log4j-sårbarheten känd som Log4Shell, som hade ett allvarlighetsvärde på 10 av 10.
första Apache webbserverfel är ett minnesrelaterat buffertspill som påverkar Apache HTTP Server 2.4.51 och tidigare. Cybersecurity and Infrastructure Security Agency (CISA) varnar att det “kan tillåta en fjärrangripare att ta kontroll över ett påverkat system”. Det mindre allvarliga felet tillåter förfalskning av serversidans begäran i Apache HTTP Server 2.4.7 upp till 2.4.51.
SE: En vinnande strategi för cybersäkerhet(ZDNet specialrapport)
Denna version av Apache HTTP Server är den senaste allmänt tillgängliga versionen av den nya generationens 2.4.x-gren av Apache HTTPD från Apaches 26-åriga HTTP Server Project, som upprätthåller en viktig och modern HTTP-server med öppen källkod för Unix- och Windows-plattformar.
Apache HTTP Server är den näst mest använda webbservern på internet efter Nginx, enligt W3Techs, som uppskattar att den används av 31,4 % av världens webbplatser. Det brittiska säkerhetsföretaget Netcraft uppskattar att 283 miljoner webbplatser använde Apache HTTP Server i december 2021, vilket motsvarar 24 % av alla webbservrar.
Den kritiska buggen är tydligen inte under attack än men HTTPD-teamet tror att det har potential att bli beväpnad.
“Apache httpd-teamet är inte medvetet om en exploatering för sårbarheten även om det kan vara möjligt att skapa en”, sa Apache HTTPD-teamet.
“En noggrant utformad förfrågningskropp kan orsaka ett buffertspill i mod_lua multipart-parsern (r:parsebody() anropad från Lua-skript),” förklarade Apache Foundations Steffan Eissing på en e-postlista.
Som Netcraft noterar, Apache HTTP Server påverkades inte direkt av det Java-baserade Log4j-felmeddelandebiblioteket eftersom det skrevs i C. Men även webbservrar skrivna på icke-Java-språk kan fortfarande ha integrerat det sårbara Log4j-biblioteket i en teknologistack. IBM:s webbserver, WebSphere, integrerar Log4j och var sårbar, men Netcraft hittade bara 3 778 webbplatser som använde den.
Apache Software Foundation har släppt tre uppdateringar den senaste veckan i kölvattnet av den utbredda Log4Shell-sårbarheten i Log4j version 2-grenen.
Cybersäkerhetsbyråer från USA, Australien, Kanada, Nya Zeeland och Storbritannien släppte i går vägledning för organisationer att åtgärda felet. Felet förväntas ta månader att lösa eftersom Log4j-biblioteket har integrerats som en komponent i hundratals mjukvaruprodukter från stora leverantörer, inklusive IBM, Cisco, VMware, RedHat och Oracle. Biblioteket levereras också med viktiga ramverk, som Apaches Struts2.
Säkerhet
Log4j-hot:10 frågor du behöver ställa Apache släpper ny 2.17.0 patch för Log4j, löser DoS-sårbarhet Polisen hittar 225 miljoner stulna lösenord på en hackad server . Är din en av dem? Hur detta företag inte betalade när det drabbades av ransomware De bästa VPN:erna för små och hembaserade företag 2021 Security TV | Datahantering | CXO | Datacenter